Planen von Authentifizierungsmethoden (Windows SharePoint Services)
Inhalt dieses Artikels
Authentifizierung
Unterstützte Authentifizierungsmethoden
Konfigurieren der Authentifizierung
Planen der Authentifizierung für das Crawling von Inhalten
Planen von Zonen für den Authentifizierungsentwurf
Auswählen der in der Umgebung zulässigen Authentifizierungsmethoden
Arbeitsblatt
In diesem Artikel werden die von Windows SharePoint Services 3.0 unterstützten Authentifizierungsmethoden beschrieben. Nach der Lektüre dieses Artikels können Sie folgende Aufgaben ausführen:
Erläutern der Implementierung der Authentifizierung in Windows SharePoint Services 3.0
Benennen der für Ihre Umgebung geeigneten Authentifizierungsmethoden
Authentifizierung
Als Authentifizierung wird das Verfahren zur Überprüfung der Identität eines Benutzers bezeichnet. Nachdem die Identität eines Benutzers überprüft wurde, wird im Autorisierungsverfahren ermittelt, auf welche Standorte, Inhalte und anderen Features der Benutzer zugreifen kann.
In Windows SharePoint Services 3.0 wird die Authentifizierung von IIS (Internet Information Services, Internetinformationsdienste) verwaltet. Nach der Benutzerauthentifizierung in IIS erfolgt das Autorisierungsverfahren anhand der Sicherheitsfeatures in Windows SharePoint Services 3.0.
Weitere Informationen zum Implementieren der Windows SharePoint Services 3.0-Autorisierung finden Sie unter Planen der Website- und Inhaltssicherheit (Windows SharePoint Services).
Das Planen der Authentifizierung ist nicht nur zum Schutz Ihrer Lösung durch die Überprüfung der Identität von Benutzern wichtig, sondern auch zum Schutz der Anmeldeinformationen im Netzwerk.
Unterstützte Authentifizierungsmethoden
Windows SharePoint Services 3.0 bietet ein flexibles und erweiterbares Authentifizierungssystem, das die Authentifizierung mit Identitätsverwaltungssystemen unterstützt, die u. a. auf dem Betriebssystem Microsoft Windows basieren. Durch Integration in die austauschbare ASP.NET-Authentifizierung unterstützt Windows SharePoint Services 3.0 mehrere formularbasierte Authentifizierungsschemas. Durch die Unterstützung der Authentifizierung in Windows SharePoint Services 3.0 können z. B. die folgenden Authentifizierungsszenarien verwendet werden:
Verwenden der Windows-Standardauthentifizierungsmethoden
Verwenden einer einfachen Datenbank aus Benutzernamen und Kennwörtern
Direktverbindung mit dem Identitätsverwaltungssystem einer Organisation
Verwenden einer Kombination aus mindestens zwei Authentifizierungsmethoden für den Zugriff auf Partneranwendungen (z. B. aus dem Herstellen einer Verbindung mit dem Identitätsverwaltungssystem eines Partnerunternehmens zur Authentifizierung der Mitarbeiter des Partnerunternehmens und aus den Windows-Authentifizierungsmethoden zur Authentifizierung der eigenen Mitarbeiter).
Verwenden von föderierten Identitätsverwaltungssystemen
In der folgenden Tabelle werden die unterstützten Authentifizierungsmethoden aufgeführt:
| Authentifizierungsmethode | Beschreibung | Beispiele |
|---|---|---|
Windows |
Die Windows-Standardauthentifizierungsmethoden über IIS werden unterstützt. |
|
ASP.NET-Formulare |
Windows SharePoint Services 3.0 unterstützt nun durch die Integration mit dem System der Microsoft ASP.NET-Formularauthentifizierung auch Identitätsverwaltungssysteme, die nicht auf Windows basieren. Die ASP.NET-Authentifizierung ermöglicht Windows SharePoint Services 3.0 das Zusammenarbeiten mit Identitätsverwaltungssystemen, die die MembershipProvider-Schnittstelle implementieren. Die Sicherheitsverwaltungsseiten müssen nicht neu geschrieben werden, und es müssen keine Schattenkonten des Active Directory-Verzeichnisdiensts verwaltet werden. |
|
Web-SSO |
Windows SharePoint Services 3.0 unterstützt die Föderationsauthentifizierung über Web-SSO-Anbieter. Durch Web-SSO kann SSO (Single Sign-On, einmalige Anmeldung) in Umgebungen verwendet werden, in denen Dienste auf verschiedenen Plattformen ausgeführt werden. Es ist nicht erforderlich, verschiedene Active Directory-Konten zu verwalten. |
|
Authentifizierung von Systemkonten
Mit der ASP.NET-Formularauthentifizierung und Web-SSO können nur Benutzerkonten authentifiziert werden. Bei den Verarbeitungskonten, mit denen eine Verbindung zur Microsoft SQL Server-Datenbanksoftware hergestellt und die Webfarm ausgeführt wird, muss es sich um Windows-Konten handeln, selbst wenn die Authentifizierung von Benutzern mit einer anderen Methode erfolgt.
Windows SharePoint Services 3.0 unterstützt die SQL Server-Authentifizierung und Verarbeitungskonten auf dem lokalen Computer für Farmen, in denen nicht Active Directory ausgeführt wird. Sie können z. B. lokale Konten implementieren, indem Sie identische Benutzernamen und Kennwörter für alle Server in einer Farm verwenden.
Konfigurieren der Authentifizierung
Das Konfigurieren der Windows-Authentifizierung ist ein unkomplizierter Vorgang. Das Konfigurieren der Authentifizierung für ASP.NET-Formulare oder Web-SSO erfordert hingegen mehr Planung. Dieser Abschnitt enthält eine Zusammenfassung der Möglichkeiten zur Authentifizierung in Windows SharePoint Services 3.0. Anhand dieser Informationen können Sie eine Authentifizierungsstrategie für Ihre Lösung entwickeln und die Personen bestimmen, die in Ihrer Organisation an der Authentifizierungsplanung beteiligt werden müssen.
Konfigurieren der Authentifizierung für SharePoint-Webanwendungen
Die Authentifizierung in Windows SharePoint Services 3.0 wird auf der Ebene der SharePoint-Webanwendung konfiguriert. In der folgenden Abbildung wird eine Windows SharePoint Services-Serverfarm veranschaulicht, die für das Hosten von Websites für mehrere Unternehmen konfiguriert ist. Die Authentifizierung wird für jedes Unternehmen einzeln konfiguriert.
.gif "Hostingauthentifizierung für zwei unterschiedliche Unternehmen")
Beim ersten Erstellen oder Erweitern einer Webanwendung kann nur eine begrenzte Anzahl von Authentifizierungsoptionen (Kerberos, NTLM und anonym) ausgewählt werden. Wenn Sie eine dieser Methoden verwenden, können Sie die Authentifizierung beim Erstellen oder Erweitern der Webanwendung konfigurieren.
Die folgende Abbildung zeigt die begrenzten Authentifizierungsoptionen beim ersten Erstellen oder beim Erweitern einer Webanwendung:
.gif "Standardauthentifizierungseinstellungen")
Wenn Sie verschiedene Authentifizierungseinstellungen verwenden, wählen Sie die Standardauthentifizierungsoptionen aus, und konfigurieren Sie die Authentifizierung erst nach dem Erstellen oder Erweitern der Webanwendung. (Wählen Sie hierzu in der Zentraladministration auf der Seite Anwendungsverwaltung im Abschnitt Anwendungssicherheit die Option Authentifizierungsanbieter aus, und klicken Sie dann auf die entsprechende Zone, um die Seite Authentifizierung bearbeiten zu öffnen.) Welche Einstellungen auf dieser Seite konfiguriert werden können, hängt vom ausgewählten Authentifizierungstyp ab: Windows, formularbasiert oder Web-SSO.
Die folgende Abbildung zeigt die Seite Authentifizierung bearbeiten:
.gif "Seite 'Authentifizierung bearbeiten'")
Je nach den in der Zentraladministration ausgewählten Authentifizierungsoptionen können weitere Konfigurationsschritte erforderlich sein. In der folgenden Tabelle sind die je nach Authentifizierungsmethode erforderlichen Konfigurationsschritte zusammengefasst. Ferner ist dort angegeben, ob außer dem SharePoint-Administrator weitere spezielle Rollen benötigt werden.
| Authentifizierungsmethode | Zusätzliche Konfigurationsschritte | Spezielle Rollen |
|---|---|---|
Anonym |
Keine |
Keine |
Standard |
Keine |
Keine |
Digest |
Direktes Konfigurieren der Digestauthentifizierung in IIS |
Keine |
Zertifikate |
|
Windows Server 2003-Administrator, zum Abrufen und Konfigurieren von Zertifikaten |
NTLM (in Windows integriert) |
Keine |
Keine |
Kerberos (in Windows integriert) |
|
IIS-Administrator |
Formulare |
|
|
Web-SSO |
Registrieren Sie zusätzlich zu den für die ASP.NET-Formularauthentifizierung erforderlichen Konfigurationsschritten ein HTTP-Modul für den Web-SSO-Anbieter. |
|
Herstellen einer Verbindung mit externen oder nicht Windows-basierten Identitätsverwaltungssystemen
Zum Authentifizieren von Benutzern in einem externen oder nicht Windows-basierten Identitätsverwaltungssystem mithilfe von ASP.NET-Formularen oder Web-SSO müssen Sie den Mitgliedschaftsanbieter in der Datei web.config registrieren. Zusätzlich zur Registrierung eines Mitgliedschaftsanbieters können Sie auch einen Rollen-Manager registrieren. Windows SharePoint Services 3.0 erfasst die Gruppeninformationen zum aktuellen Benutzer über die ASP.NET-Standardschnittstelle für Rollen-Manager. Während des Autorisierungsverfahrens in Windows SharePoint Services 3.0 wird jede ASP.NET-Rolle wie eine Domänengruppe behandelt. Rollen-Manager werden in der Datei Web.config auf die gleiche Weise wie Mitgliedschaftsanbieter für die Authentifizierung registriert.
Wenn Sie auf der Website für die Zentraladministration Mitgliedschaftsbenutzer oder -rollen verwalten möchten, können Sie optional den Mitgliedschaftsanbieter und den Rollen-Manager in der Datei Web.config für die Website für die Zentraladministration registrieren (zusätzlich zu deren Registrierung in der Datei Web.config für die Webanwendung, die den Inhalt hostet).
Stellen Sie sicher, dass die Namen des Mitgliedschaftsanbieters und des Rollen-Managers, die in der Datei Web.config registriert werden, mit dem Namen identisch sind, den Sie in der Zentraladministration auf der Seite Authentication.aspx eingegeben haben. Wenn Sie den Rollen-Manager nicht in der Datei Web.config eingeben, wird stattdessen möglicherweise der in der Datei machine.config angegebene Standardanbieter verwendet.
Beispielsweise wird mit der folgenden Zeichenfolge in einer Web.config-Datei ein SQL-Mitgliedschaftsanbieter angegeben:
<membership defaultProvider="AspNetSqlMembershipProvider">
Weitere Informationen zur Verwendung der ASP.NET-Formularauthentifizierung zum Herstellen einer Verbindung mit einem SQL Server-Authentifizierungsanbieter finden Sie unter Authentifizierungsbeispiele (Windows SharePoint Services).
Wenn Sie über eine Web-SSO eine Verbindung mit einem externen Identitätsverwaltungssystem herstellen, müssen Sie auch ein HTTP-Modul für die Web-SSO registrieren. Ein HTTP-Modul ist eine Assembly, die bei jeder Anforderung an die Anwendung aufgerufen wird. HTTP -Module werden als Teil der ASP.NET-Anforderungspipeline aufgerufen. Weitere Informationen finden Sie unter Einführung in HTTP-Module (in englischer Sprache) (https://go.microsoft.com/fwlink/?linkid=77954&clcid=0x407).
Aus der Integration in die ASP.NET-Formularauthentifizierung ergeben sich zusätzliche Anforderungen an den Authentifizierungsanbieter. Neben der Registrierung der verschiedenen Elemente in der Datei Web.config müssen der Mitgliedschaftsanbieter, der Rollen-Manager und das HTTP-Modul gemäß der folgenden Tabelle so programmiert werden, dass eine Interaktion mit Windows SharePoint Services 3.0 und ASP.NET-Methoden erfolgen kann:
| Kategorie | Beschreibung |
|---|---|
Mitgliedschaftsanbieter |
Für die Verwendung mit Windows SharePoint Services 3.0 muss der Mitgliedschaftsanbieter die folgenden Methoden implementieren:
|
Rollen-Manager |
Der Rollen-Manager muss die folgenden Methoden implementieren:
|
HTTP-Modul |
Im HTTP-Modul müssen folgende Ereignisse behandelt werden:
|
Aktivieren des anonymen Zugriffs
Neben dem Konfigurieren einer sichereren Authentifizierungsmethode können Sie auch den anonymen Zugriff auf eine Webanwendung aktivieren. In dieser Konfiguration können Websiteadministratoren in einer Webanwendung auch den anonymen Zugriff zulassen. Wenn anonyme Benutzer auf geschützte Ressourcen und Funktionen zugreifen möchten, können sie auf eine Anmeldeschaltfläche klicken, um ihre Anmeldeinformationen zu senden.
Verwenden anderer Authentifizierungsmethoden für den Zugriff auf eine Website
Sie können Webanwendungen in Windows SharePoint Services 3.0 für den Zugriff mit bis zu fünf verschiedenen Authentifizierungsmethoden oder Identitätsverwaltungssystemen konfigurieren. Die folgende Abbildung zeigt eine Partneranwendung, die für den Zugriff von Benutzern aus zwei verschiedenen Identitätsverwaltungssystemen konfiguriert wird. Interne Mitarbeiter werden mithilfe einer der Windows-Standardauthentifizierungsmethoden authentifiziert. Die Mitarbeiter des Partnerunternehmens werden hingegen mithilfe des Identitätsverwaltungssystems ihres eigenen Unternehmens authentifiziert.
.gif "Diagramm mit Optionen zum Verwalten der Authentifizierung")
Zum Konfigurieren einer Webanwendung für den Zugriff mit mehreren verschiedenen Authentifizierungssystemen müssen Sie zusätzliche Zonen für die Webanwendung einrichten. Zonen stellen verschiedene logische Pfade für den Zugriff auf dieselbe physische Anwendung dar. Mit einer gängigen Partneranwendung können die Mitarbeiter eines Partnerunternehmens über das Internet auf die Anwendung zugreifen, während die internen Mitarbeiter direkt über das Intranet auf die Anwendung zugreifen.
Erweitern Sie zum Erstellen einer neuen Zone die Webanwendung. Geben Sie auf der Seite Webanwendung auf eine andere IIS-Website erweitern im Abschnitt Lastenausgleich-URL die URL und den Zonentyp an. Der Zonentyp ist ein Kategoriename für die Zone, der sich nicht auf die Konfiguration der Zone auswirkt.
Nach dem Erweitern der Webanwendung können Sie eine eigene Authentifizierungsmethode für die neue Zone konfigurieren. Die folgende Abbildung zeigt die Seite Authentifizierungsanbieter für eine Webanwendung, die mit zwei verschiedenen Zonen konfiguriert wurde. Die Standardzone ist die Zone, die von den internen Mitarbeitern verwendet wird. Die Internetzone wurde für den Partnerzugriff konfiguriert. Die Authentifizierung der Mitarbeiter des Partnerunternehmens erfolgt anhand des Identitätsverwaltungssystems mithilfe von ASP.NET-Formularen.
.gif "Eine Webanwendung mit zwei konfigurierten Zonen")
Planen der Authentifizierung für das Crawling von Inhalten
Sie müssen mit den Authentifizierungsanforderungen der Indexkomponente des Suchservers (auch als Crawler bezeichnet) vertraut sein, um erfolgreiche Crawls des Inhalts einer Webanwendung durchzuführen. In diesem Abschnitt wird beschrieben, wie die Authentifizierung für Webanwendungen konfiguriert wird, um sicherzustellen, dass Crawls des Inhalts der Webanwendungen erfolgreich durchgeführt werden können.
Wenn ein Farmadministrator eine Webanwendung mit den Standardeinstellungen erstellt, wird die Standardzone für diese Webanwendung für die Verwendung von NTLM konfiguriert. Der Farmadministrator kann die Authentifizierungsmethode für die Standardzone in jede Authentifizierungsmethode ändern, die von Windows SharePoint Services 3.0 unterstützt wird.
Der Farmadministrator kann eine Webanwendung auch mehrmals erweitern, um weitere Zonen zu aktivieren. Einer Webanwendung können bis zu fünf Zonen zugeordnet sein, und in jeder Zone kann eine beliebige von Windows SharePoint Services 3.0 unterstützte Authentifizierungsmethode konfiguriert werden.
Reihenfolge des Crawlerzugriffs auf Zonen
Berücksichtigen Sie beim Planen der Zonen für eine Webanwendung die Abrufreihenfolge, in der der Crawler während der Authentifizierung auf Zonen zugreift. Die Abrufreihenfolge ist wichtig, weil die Authentifizierung nicht erfolgreich ausgeführt wird, wenn der Crawler feststellt, dass in einer Zone die Standard-, Digest- oder Kerberos-Authentifizierung konfiguriert ist. In diesem Fall erfolgt kein Zugriff des Crawlers auf die nächste Zone in der Abrufreihenfolge, und der Inhalt der entsprechenden Webanwendung wird nicht gecrawlt.
Tipp
Stellen Sie sicher, dass eine für NTLM konfigurierte Zone in der Abfragereihenfolge vor einer Zone liegt, die für die Standard-, Digest- oder Kerberos-Authentifizierung konfiguriert ist.
Die Crawler fragt die Zonen in der folgenden Reihenfolge ab:
Standardzone
Intranetzone
Internetzone
Benutzerdefinierte Zone
Extranetzone
Die folgende Abbildung zeigt die Entscheidungen des Authentifizierungssystems bei Authentifizierungsversuchen durch den Crawler:
.gif "Zeigt die Reihenfolge an, in der der Crawler Zonen abruft.")
In der folgenden Tabelle werden die einzelnen Aktionen beschrieben, die in der Legende der Abbildung genannt sind:
| Legende | Aktion |
|---|---|
1 |
Der Crawler versucht, die Authentifizierung in der Standardzone durchzuführen. Hinweis Der Authentifizierungsversuch für eine Webanwendung erfolgt stets zuerst in der Standardzone. |
2 |
Wenn die Zone für NTLM konfiguriert ist, wird der Crawler authentifiziert, und die Autorisierungsphase beginnt. |
3 |
Wenn die Zone für die Standard-, Digest oder Kerberos-Authentifizierung konfiguriert ist, wird die Authentifizierung nicht erfolgreich ausgeführt, und der Crawler führt keine weiteren Authentifizierungsversuche in anderen Zonen durch. Dies bedeutet, dass der Inhalt nicht gecrawlt wird. |
4 |
Wenn laut Abfragereihenfolge keine weiteren Zonen vorhanden sind, wird die Authentifizierung nicht erfolgreich ausgeführt, und der Inhalt wird nicht gecrawlt. |
5 |
Der Crawler führt einen Authentifizierungsversuch in der nächsten Zone in der Abfragereihenfolge durch. |
Wenn Sie in der Standardzone eine Authentifizierungsmethode konfigurieren, die vom Crawler nicht unterstützt wird, z. B. die Formularauthentifizierung oder Web-SSO, müssen Sie mindestens eine weitere Zone erstellen und in dieser Zone die NTLM-Authentifizierung konfigurieren. Betrachten Sie das folgende Szenario.
Authentifizierungsszenario
Die Farmadministratorin erstellt eine Webanwendung und konfiguriert diese für die Formularauthentifizierung. Da der Inhalt der Webanwendung gecrawlt und indiziert werden soll und für den Crawler eine mit NTLM konfigurierte Zone erforderlich ist, erweitert die Farmadministratorin die Webanwendung und konfiguriert die Intranetzone für NTLM.
Wenn der Crawler versucht, die Authentifizierung in der Standardzone durchzuführen, stellt das Authentifizierungssystem fest, dass der Crawler und die Zone nicht für dieselbe Authentifizierungsmethode konfiguriert sind. Da die Zone nicht für die Standard-, Digest- oder Kerberos-Authentifizierung konfiguriert ist und mindestens eine weitere Zone in der Abfragereihenfolge vorhanden ist, führt der Crawler einen Authentifizierungsversuch in der Intranetzone durch. Da die Intranetzone für NTLM konfiguriert ist und auch der Crawler NTLM verwendet, wird die Authentifizierung erfolgreich ausgeführt.
Sie müssen nicht nur die Authentifizierungsmethode ordnungsgemäß konfigurieren, sondern auch sicherstellen, dass der Crawler zum Crawlen des Inhalts der Webanwendung autorisiert ist. Hierzu müssen Sie sich vergewissern, dass die Anmeldeinformationen für das Inhaltszugriffskonto mindestens über vollständigen Lesezugriff für die Webanwendung verfügt, die gecrawlt werden soll. Farmadministratoren können in der Zentraladministration auf der Seite Richtlinie für Webanwendung eine Richtlinie erstellen, in der dem Inhaltszugriffskonto der vollständige Lesezugriff für eine bestimmte Webanwendung erteilt wird.
Crawlen von Websitesammlungen mit Hostnamen
Die in der vorherigen Abbildung veranschaulichten Vorgänge und Regeln gelten nicht für Websitesammlungen mit Hostnamen, weil diese nur in der Standardzone verfügbar sind. Wenn Sie beim Bereitstellen von Websitesammlungen mit Hostnamen in der Standardzone nicht NTLM konfigurieren, müssen Sie für die Indexkomponente eine alternative Methode für den Inhaltszugriff konfigurieren.
Weitere Informationen zum Crawlen von Websitesammlungen mit Hostnamen, die nicht für die NTLM-Authentifizierung konfiguriert sind, finden Sie in den folgenden Artikeln:
Planen von Zonen für den Authentifizierungsentwurf
Wenn Sie mehrere Authentifizierungsmethoden für eine Webanwendung mithilfe von Zonen implementieren möchten, verwenden Sie die folgenden Richtlinien:
Implementieren Sie in der Standardzone die sichersten Authentifizierungseinstellungen. Wenn eine Anforderung keiner bestimmten Zone zugeordnet werden kann, werden die Authentifizierungseinstellungen und andere Sicherheitsrichtlinien der Standardzone angewendet. Die Standardzone wird bei der anfänglichen Erstellung einer Webanwendung erstellt. Die sichersten Authentifizierungseinstellungen werden i. d. R. für den Endbenutzerzugriff entwickelt. Folglich ist die Standardzone wahrscheinlich die Zone, auf die die Endbenutzer zugreifen.
Verwenden Sie die minimale Anzahl von Zonen, die für die Anwendung erforderlich sind. Jeder Zone ist eine neue IIS-Website und -Domäne für den Zugriff auf die Webanwendung zugeordnet. Fügen Sie neue Zugriffspunkte nur dann hinzu, wenn diese benötigt werden.
Wenn Inhalt in der Webanwendung in den Suchergebnissen enthalten sein soll, müssen Sie sicherstellen, dass mindestens eine Zone für die NTLM-Authentifizierung konfiguriert ist. NTLM-Authentifizierung ist für die Indexkomponente erforderlich, um den Inhalt zu crawlen. Erstellen Sie keine dedizierte Zone für die Indexkomponente, sofern dies nicht erforderlich ist.
Auswählen der in der Umgebung zulässigen Authentifizierungsmethoden
Zusätzlich zu den Kenntnissen des Verfahrens zum Konfigurieren der Authentifizierung umfasst die Authentifizierungsplanung folgende Aufgaben:
Berücksichtigen des Sicherheitskontexts oder der Sicherheitsumgebung der Webanwendung in Windows SharePoint Services 3.0
Auswerten der Empfehlungen und Nachteile der einzelnen Methoden
Kenntnisse des Verfahrens zum Zwischenspeichern und Verwenden von Benutzeranmeldeinformationen und verwandten Identitätsdaten in Windows SharePoint Services 3.0
Kenntnisse der Verwaltung von Benutzerkonten
Sicherstellen der Kompatibilität der Authentifizierungsmethoden mit den von den Benutzern verwendeten Browsern
| Arbeitsblattaktion |
|---|
Benennen Sie auf dem Arbeitsblatt "Authentifizierungsmethoden" (in englischer Sprache) (https://go.microsoft.com/fwlink/?linkid=77970&clcid=0x407) (in englischer Sprache) die Authentifizierungsmethoden, die in der Umgebung unterstützt werden sollen, und protokollieren Sie dort Ihre einschlägigen Entscheidungen und Empfehlungen. Dieses Arbeitsblatt wird beim Planen der Authentifizierungsmethoden für die einzelnen Webanwendungen in Windows SharePoint Services 3.0 verwendet. |
Empfehlungen für bestimmte Sicherheitsumgebungen
Entscheiden Sie hauptsächlich anhand des Sicherheitskontexts der Anwendung über die zu verwendenden Authentifizierungsmethoden. Die folgende Tabelle enthält Empfehlungen auf der Grundlage der häufigsten Sicherheitsumgebungen:
| Umgebung | Überlegungen |
|---|---|
Internes Intranet |
Schützen Sie die Benutzeranmeldeinformationen zumindest vor der Volltextdarstellung. Stellen Sie die Integration im Benutzerverwaltungssystem sicher, das in der Umgebung implementiert ist. Wenn Active Directory implementiert ist, verwenden Sie die in IIS integrierten Windows-Authentifizierungsmethoden. |
Sichere Zusammenarbeit mit externen Benutzern |
Konfigurieren Sie für jedes Partnerunternehmen, das eine Verbindung mit der Website herstellt, eine eigene Zone. Authentifizieren Sie die entsprechenden Benutzer mithilfe des Identitätsverwaltungssystems des jeweiligen Partners über Web-SSO. Dadurch entfällt die Notwendigkeit, Benutzerkonten im eigenen Identitätsverwaltungssystem zu erstellen. Außerdem wird sichergestellt, dass die Identitäten weiterhin durch das Partnerunternehmen verwaltet und überprüft werden. Wenn ein Benutzer nicht mehr bei einem Partnerunternehmen beschäftigt ist, kann dieser auch nicht mehr auf die Partneranwendung zugreifen. |
Externer anonymer Zugriff |
Aktivieren Sie den anonymen Zugriff (ohne Authentifizierung), aber gewähren Sie Benutzern aus dem Internet ausschließlich Lesezugriff. Wenn Sie zielgruppenorientierte oder rollenbasierte Inhalte bereitstellen möchten, können Sie Benutzer mithilfe der ASP.NET-Formularauthentifizierung anhand einer einfachen Datenbank mit Benutzernamen und -rollen registrieren. Identifizieren Sie die Benutzer beim Registrierungsvorgang nach ihrer Rolle (z. B. Arzt, Patient, Apotheker usw.). Bei der Anmeldung kann den Benutzern rollenspezifischer Inhalt angezeigt werden. In diesem Szenario werden mithilfe der Authentifizierung weder die Anmeldeinformationen überprüft noch der Zugriff auf den Inhalt beschränkt, sondern mit diesem Authentifizierungsverfahren werden lediglich zielgruppenorientierte Inhalte bereitgestellt. |
Empfehlungen und Nachteile von Authentifizierungsmethoden
Wenn Sie mit den Vorteilen, Empfehlungen und Nachteilen der einzelnen Authentifizierungsmethoden vertraut sind, können Sie die für Ihre Umgebung geeigneten Methoden besser bestimmen. In der folgenden Tabelle sind die Empfehlungen und Nachteile der einzelnen Authentifizierungsmethoden dargestellt. Weitere Informationen zu den einzelnen von IIS unterstützten Windows-Authentifizierungsmethoden finden Sie unter IIS-Authentifizierung (https://go.microsoft.com/fwlink/?linkid=78066&clcid=0x407).
| Authentifizierungsmethode | Vorteile und Empfehlungen | Nachteile |
|---|---|---|
Windows |
|
|
ASP.NET-Formulare |
|
|
Web-SSO |
|
|
Verwaltung der Benutzeridentitätsdaten
Das Verfahren zur Verarbeitung und Verwendung von Benutzeranmeldeinformationen und anderen Identitätsdaten in Windows SharePoint Services 3.0 kann sich auf Ihre Entscheidung über die für den geplanten Zweck am besten geeigneten Authentifizierungsoptionen auswirken. In diesem Abschnitt wird ausführlich erläutert, wie Identitätsdaten in den folgenden Kategorien verarbeitet werden:
Binäre Kennungen Erstellung oder Verwendung von binären Kennungen in Windows SharePoint Services 3.0.
Zwischenspeicherung Das Verfahren zum vorübergehenden Speichern einer Benutzeridentität, mit dem die Wiederholung des Authentifizierungsverfahrens bei jeder Anforderung vermieden werden soll.
Rollen- und Gruppenmitgliedschaft Bei der Authentifizierung wird nicht nur die Identität, sondern auch die Gruppen- oder Rollenzugehörigkeit eines Benutzers ermittelt. Anhand dieser Informationen wird bei der Autorisierung festgelegt, für welche Aktionen ein Benutzer welche Berechtigungen erhält. Zu Autorisierungszwecken behandelt Windows SharePoint Services 3.0 Active Directory-Gruppen und ASP.NET-Rollen als denselben Entitätstyp.
In der folgenden Tabelle wird erläutert, wie je nach verwendeter Authentifizierungsmethode binäre Kennungen, zwischengespeicherte Benutzerdaten sowie Rollen- und Gruppenmitgliedschaftsdaten in Windows SharePoint Services 3.0 verwaltet werden:
| Element | Windows-Authentifizierung | ASP.NET-Formulare und Web-SSO |
|---|---|---|
Binäre Kennungen |
Windows SharePoint Services 3.0 verwendet die Windows-Sicherheitskennung (SID). |
Windows SharePoint Services 3.0 erstellt aus einer Kombination aus Anbieter- und Benutzernamen eine eindeutige binäre Kennung. |
Zwischenspeicherung |
Anmeldeinformationen werden von IIS, Internet Explorer und Windows zwischengespeichert und verwaltet. |
ASP.NET verwendet zum Speichern der Anmeldeinformationen des Benutzers für die Dauer der Sitzung ein verschlüsseltes Cookie. |
Rollen- und Gruppenmitgliedschaft |
Windows verwaltet die Liste der Active Directory-Domänengruppen, denen ein Benutzer angehört, im Zugriffstoken. Windows SharePoint Services 3.0 verwendet die im Zugriffstoken gespeicherten Informationen. |
Bei der Registrierung eines Rollen-Managers erfasst Windows SharePoint Services die Gruppeninformationen zum aktuellen Benutzer über die Standardschnittstelle für Rollen-Manager. Jede ASP.NET-Rolle wird während der Authentifizierung wie eine Domänengruppe behandelt. ASP.NET kann die Rollen, denen eine Benutzer angehört, in einem Cookie zwischenspeichern. Dies hängt von den Einstellungen ab, die in der Datei Web.config konfiguriert sind. |
Verwaltung von Benutzerkonten
Wenn Sie wissen, wie in Windows SharePoint Services 3.0 typische Verwaltungsaufgaben für Benutzerkonten ausgeführt werden, kann sich dies auf die von Ihnen ausgewählte Authentifizierungsmethode auswirken. Im Allgemeinen können Benutzer, die in einer Zone Mitglied eines Authentifizierungsanbieters sind, Konten in allen anderen Zonen verwalten, sofern ihnen die entsprechenden Berechtigungen erteilt wurden. Die Informationen in der folgenden Liste gelten unabhängig von der implementierten Authentifizierungsmethode:
Hinzufügen und Einladen neuer Benutzer Sie können einen neuen Benutzer aus jeder Zone hinzufügen oder einladen und alle konfigurierten Authentifizierungsmethoden verwenden, wenn der Mitgliedschaftsanbieter und der Rollen-Manager in der aktuellen Web.config-Datei registriert sind. Beim Hinzufügen eines neuen Benutzers löst Windows SharePoint Services 3.0 den Benutzernamen anhand der folgenden Quellen in der folgenden Reihenfolge auf:
Die von Windows SharePoint Services 3.0 gespeicherte Tabelle UserInfoList. Wenn die Benutzer bereits einer anderen Website hinzugefügt wurden, befinden sich die Benutzerinformationen in dieser Liste.
Der für die aktuelle Zone konfigurierte Authentifizierungsanbieter. Wenn z. B. ein Benutzer Mitglied des für die Standardzone konfigurierten Authentifizierungsanbieters ist, überprüft Windows SharePoint Services 3.0 zuerst diesen zugeordneten Mitgliedschaftsanbieter.
Alle anderen Authentifizierungsanbieter.
Löschen von Benutzern Benutzerkonten werden in der Windows SharePoint Services 3.0-Datenbank als gelöscht gekennzeichnet. Der Benutzerdatensatz wird jedoch nicht entfernt.
Bestimmte Verwaltungsverfahren für Benutzerkonten variieren in Windows SharePoint Services 3.0 je nach Authentifizierungsanbieter. In der folgenden Tabelle sind mehrere häufige Aufgaben in Bezug auf Benutzerkonten aufgeführt, die je nach implementierter Authentifizierungsmethode variieren:
| Aufgabe | Konten mit Windows-Authentifizierung | Über ASP.NET-Formulare und Web-SSO authentifizierte Konten |
|---|---|---|
Hinzufügen und Einladen neuer Benutzer |
Windows SharePoint Services 3.0 überprüft die Benutzeridentität mithilfe von Active Directory. |
Windows SharePoint Services 3.0 ruft den Mitgliedschaftsanbieter und den Rollen-Manager auf und überprüft, ob der Benutzer und die Rollen vorhanden sind. |
Änderungen an Anmeldenamen |
Aktualisierte Benutzernamen werden von Windows SharePoint Services 3.0 automatisch erkannt. Der Tabelle UserInfoList werden keine neuen Einträge hinzugefügt. |
Sie müssen den alten Kontonamen löschen und dann den neuen Kontonamen hinzufügen. Berechtigungen können nicht migriert werden. |
Anmeldung |
Wenn die integrierte Windows-Authentifizierung (Kerberos oder NTLM) verwendet wird und der Browser für die automatische Anmeldung konfiguriert ist, müssen sich die Benutzer an SharePoint-Websites nicht manuell anmelden. Standardmäßig ist Internet Explorer für die automatische Anmeldung bei Intranetsites konfiguriert. Wenn eine Anmeldung erforderlich ist (z. B. auf Websites, auf denen andere Anmeldeinformationen erforderlich sind), werden die Benutzer aufgefordert, einen Benutzernamen und ein Kennwort einzugeben. Wenn jedoch die Standardauthentifizierung oder ein Browser verwendet wird, der nicht für die automatische Anmeldung konfiguriert ist, werden die Benutzer möglicherweise aufgefordert, beim Zugriff auf eine SharePoint-Website Anmeldeinformationen einzugeben. |
Windows SharePoint Services 3.0 enthält eine Standardanmeldeseite für die Formularauthentifizierung. Diese Seite enthält die Felder Benutzername, Kennwort und Automatisch anmelden (zum Speichern des Cookies). Sie können eine eigene Anmeldeseite erstellen, um zusätzliche Anmeldesteuerelemente hinzuzufügen (z. B. zum Erstellen eines neuen Kontos oder zum Zurücksetzen des Kennworts). |
Browserunterstützung
Nicht alle unterstützten Authentifizierungsmethoden können in allen Browsern verwendet werden. Ermitteln Sie vor dem Auswählen der in der Umgebung zulässigen Authentifizierungsmethoden, welche Browser Sie unterstützen müssen. Bestimmen Sie anschließend, welche Authentifizierungsmethoden durch die Browser unterstützt werden. Internet Explorer kann mit allen unterstützten Authentifizierungsmethoden verwendet werden. Außerdem werden folgende Browser von Windows SharePoint Services 3.0 unterstützt:
Netscape 8.0
Netscape 7.2
Mozilla 1.7.12
Firefox 1.5
Safari 2.02
Arbeitsblatt
Erfassen Sie auf dem folgenden Arbeitsblatt die für eine Umgebung geeigneten Authentifizierungsmethoden:
- Arbeitsblatt "Authentifizierungsmethoden" (in englischer Sprache) (https://go.microsoft.com/fwlink/?linkid=77970&clcid=0x407)
Die folgende Tabelle enthält ein Beispiel eines ausgefüllten Arbeitsblatts:
| Authentifizierungsmethode | Zulässig | Nicht zulässig | Hinweise und Empfehlungen |
|---|---|---|---|
Anonym |
x |
||
Standard |
x |
||
Digest |
x |
||
Zertifikate |
x |
||
NTLM (in Windows integriert) |
x |
*"Verwenden Sie NTLM für alle Abteilungswebsites bis auf die der Finanzabteilung."* |
|
Kerberos (in Windows integriert) |
x |
*"Verwenden Sie die Kerberos-Authentifizierung für Websites mit einer Vereinbarung zum Servicelevel mit hoher Sicherheitsstufe."* |
|
ASP.NET-Formulare |
x |
*"Ermöglichen Sie Partnerunternehmen über die Formularauthentifizierung den Zugriff auf im Partnerextranet gehostete Websites. Die Authentifizierung ist derzeit mit folgenden Identitätsverwaltungssystemen möglich: Active Directory, LDAP. Entwickeln Sie mit Gerhard Goeschl die Authentifizierungseinstellungen für die Formularauthentifizierung."* |
|
Web-SSO |
x |
*"Verwenden Sie diese Methode für Partneranwendungen nur, wenn das entsprechende Partnerunternehmen ein föderiertes Identitätsverwaltungssystem verwendet. Wenden Sie sich an Walter Weinfurter, um weitere Informationen zu erhalten."* |
Weitere Hinweise: "Lassen Sie sämtliche Authentifizierungseinstellungen für SharePoint-Webanwendungen vor der Implementierung von Anja Richter genehmigen."
Herunterladen dieses Buchs
Dieses Thema wurde zum leichteren Lesen und Ausdrucken in das folgende Buch zum Herunterladen aufgenommen:
Planung und Architektur für Windows SharePoint Services 3.0, Teil 2 (in englischer Sprache)
Planen einer Extranetumgebung für Windows SharePoint Services (in englischer Sprache)
Sicherheit für Windows SharePoint Services 3.0 (in englischer Sprache)
Die vollständige Liste der verfügbaren Bücher finden Sie unter Bücher zum Herunterladen für Windows SharePoint Services.